Czy moje hasło jest bezpieczne? #od0dopentestera A może znalazło się w jakimś wycieku danych? Jak mogę to sprawdzić?
Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków. Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła. Ale nie każdy posiada odpowiednie zdolności techniczne.
Wiemy, że podawanie naszych haseł na zewnętrznych serwisach nie jest najlepszym pomysłem. W celu zachowania bezpieczeństwa będziemy wiec korzystać z funkcji haszującej, która z dowolnego ciągu znaków tworzy inny ciąg o stałej długości. Operacja ta jest nieodwracalna - to znaczy, ze stworzonego w taki sposób hasza nie da się otrzymać pierwotnej wartości (pomijając ataki siłowe).
Tak wygenerowany hash sha1 możemy sprawdzać w różnych bazach online. Minusy? Nigdy nie mamy pewności jakie zamiary ma osoba udostępniająca tego rodzaju usługi. Jeżeli hasło istnieje w bazie w postaci hasha - twórca witryny może je również posiadać w zwykłej postaci bez żadnego hashowania. Znając naszą tożsamość może wykorzystać tą wiedzę do targetowanych ataków.
Dochodzimy więc do paradoksu. Z jednej strony aby sprawdzić hasło musimy je jakoś przekazać do serwisu. Z drugiej jednak strony ta czynność w odpowiednich warunkach może doprowadzić do jego wycieku.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki. Chcielibyśmy podzielić się wynikami badań w magazynach branżowych. Nie możemy jednak podawać danych osobowych pacjentów. Musimy je jakoś zanonimizować - czyli usunąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Pierwszy sposób polega na ukrywaniu pewnych danych. Wystarczy imię i nazwisko zamienić na gwiazdkę. Drugi sposób to uogólnienie. Zamiast podawać konkretny wiek danej osoby - podajemy zakres, a miasto zamieniamy na województwo.
Ale jak to się ma do bezpieczeństwa haseł? Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z niego pierwsze 5 znaków. Te 5 znaków wysyłane jest do serwera API, który to zwraca wszystkie rekordy, zaczynające się od tych wartości. Przeglądarka ponownie lokalnie porównuje każdy z tych wyników z wyliczonym wcześniej hashem i jeżeli odnajdzie pasujący rekord - wie że dane hasło wyciekło.
Dzięki temu całe nasze hasło nigdy nie opuszcza naszego komputera w żadnej postaci. 5 znaków to bardzo mało. Twórca witryny nie jest w stanie na tej podstawie stwierdzić czy nasze hasło znajduje się w bazie a może jest to zupełnie inny ciąg znaków, którego hash po prostu zaczyna się od podanej wartości.
@KacperSzurek: jak raz sprawdzisz przez jakąkolwiek wyszukiwarkę haseł to już napewno będzie w bazie wycieknietych haseł xd Teraz chrome ma generator haseł, więc można do każdego guwo portalu bez wysiłku otwierania keepassa mieć inne hasło, A do ważnych kont ma się 2fa, najlepiej z kluczem sprzetowym
@KacperSzurek: ja mam takie pytanie, może głupie, może madre, nie wiem... Co w sytuacji gdy mój adres e-mail widnieje w bazie wyciekniętych danych? Oczywiście chodzi o nieszczęsny polski sklep. Zmienić hasło? Usunąć tego maila z tego sklepu? Coś jeszcze? ( ͡°ʖ̯͡°)
@gigi_lacrimoso_amoroso: Nasz adres e-mail podajemy w zbyt wielu miejscach. Istnieje więc ryzyko, że nawet po jego zmianie, po jakimś czasie ten nowy – również wycieknie. Poza tym sama zmiana wprowadza pewne komplikacje – chociażby musielibyśmy poinformować o niej naszych znajomych. Dodatkowo, niektóre osoby niejako z definicji same, podają
@Bezglutenu: nieprawda opcja potwierdzania jest w appce, na stronie puszczasz przelew a w appce wyskakuje komunikat autoryzacji Mam zupełnie wykluczone smsy Nie wypowiadaj się na tematy których nie znasz Nawet w gmailu można całkowicie wykluczyć smsy i mieć yubikey + potwierdzanie promtem
A może znalazło się w jakimś wycieku danych?
Jak mogę to sprawdzić?
Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków.
Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła.
Ale nie każdy posiada odpowiednie zdolności techniczne.
Wiemy, że podawanie naszych haseł na zewnętrznych serwisach nie jest najlepszym pomysłem.
W celu zachowania bezpieczeństwa będziemy wiec korzystać z funkcji haszującej, która z dowolnego ciągu znaków tworzy inny ciąg o stałej długości.
Operacja ta jest nieodwracalna - to znaczy, ze stworzonego w taki sposób hasza nie da się otrzymać pierwotnej wartości (pomijając ataki siłowe).
Tak wygenerowany hash sha1 możemy sprawdzać w różnych bazach online.
Minusy? Nigdy nie mamy pewności jakie zamiary ma osoba udostępniająca tego rodzaju usługi.
Jeżeli hasło istnieje w bazie w postaci hasha - twórca witryny może je również posiadać w zwykłej postaci bez żadnego hashowania.
Znając naszą tożsamość może wykorzystać tą wiedzę do targetowanych ataków.
Dochodzimy więc do paradoksu.
Z jednej strony aby sprawdzić hasło musimy je jakoś przekazać do serwisu.
Z drugiej jednak strony ta czynność w odpowiednich warunkach może doprowadzić do jego wycieku.
Jak sprawę rozwiązał serwis have i been pwned?
Wykorzystując k-anonymity.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Chcielibyśmy podzielić się wynikami badań w magazynach branżowych.
Nie możemy jednak podawać danych osobowych pacjentów.
Musimy je jakoś zanonimizować - czyli usunąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Pierwszy sposób polega na ukrywaniu pewnych danych.
Wystarczy imię i nazwisko zamienić na gwiazdkę.
Drugi sposób to uogólnienie.
Zamiast podawać konkretny wiek danej osoby - podajemy zakres, a miasto zamieniamy na województwo.
Ale jak to się ma do bezpieczeństwa haseł?
Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z niego pierwsze 5 znaków.
Te 5 znaków wysyłane jest do serwera API, który to zwraca wszystkie rekordy, zaczynające się od tych wartości.
Przeglądarka ponownie lokalnie porównuje każdy z tych wyników z wyliczonym wcześniej hashem i jeżeli odnajdzie pasujący rekord - wie że dane hasło wyciekło.
Dzięki temu całe nasze hasło nigdy nie opuszcza naszego komputera w żadnej postaci.
5 znaków to bardzo mało.
Twórca witryny nie jest w stanie na tej podstawie stwierdzić czy nasze hasło znajduje się w bazie a może jest to zupełnie inny ciąg znaków, którego hash po prostu zaczyna się od podanej wartości.
Subskrybuj kanał na YouTube
Transkrypcja
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security
Możesz zapisać/wypisać się klikając na nazwę listy.
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak
Teraz chrome ma generator haseł, więc można do każdego guwo portalu bez wysiłku otwierania keepassa mieć inne hasło,
A do ważnych kont ma się 2fa, najlepiej z kluczem sprzetowym
@atari_XE: czytałeś co napisał @KacperSzurek: ?
Pomogę Ci znaleźć odpowiedni fragment w tej "ścianie" tekstu..
Takie strony to w 90% są po to żeby hasła wyciągnąć
Zacznijcie lepiej używać generatorów haseł i 2fa a nie takich phishingowych pseudo list
https://www.poradyodo.pl/aktualnosci-rodo/jak-zglosic-naruszenie-ochrony-danych-do-prezesa-uodo-8588.html
a maila zmień jak możesz...
@gigi_lacrimoso_amoroso: Nasz adres e-mail podajemy w zbyt wielu miejscach.
Istnieje więc ryzyko, że nawet po jego zmianie, po jakimś czasie ten nowy – również wycieknie.
Poza tym sama zmiana wprowadza pewne komplikacje – chociażby musielibyśmy poinformować o niej naszych znajomych.
Dodatkowo, niektóre osoby niejako z definicji same, podają
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Kody sms to syf
Komentarz usunięty przez moderatora
Mam zupełnie wykluczone smsy
Nie wypowiadaj się na tematy których nie znasz
Nawet w gmailu można całkowicie wykluczyć smsy i mieć yubikey + potwierdzanie promtem
Komentarz usunięty przez moderatora
Universal 2nd Factor U2F
2nd Factor Authentication 2FA
To samo
Komentarz usunięty przez moderatora